ForeScout แนะนำ 8 วิธีลดความเสี่ยงจากการใช้ Windows XP ในองค์กร

หลังจากที่ Microsoft ได้ประกาศหยุดสนับสนุน Windows XP อย่างเป็นทางการไปเป็นที่เรียบร้อยแล้วนั้น ก็เกิดประเด็นทางด้านการรักษาความปลอดภัยที่ Windows XP อาจส่งผลต่อองค์กรต่างๆ กันขึ้นมาอย่างมากมาย อีกทั้งจากสถิติที่ผ่านมา Microsoft Windows XP เองก็มีอัตราการถูกโจมตีสูงที่สุดเมื่อเทียบกับ Windows Client รุ่นอื่นๆ ทาง ForeScout ผู้ผลิตระบบ Next Generation Network Access Control จึงได้แนะนำนโยบายรักษาความปลอดภัย 8 ข้อเพื่อบรรเทาความเสี่ยงที่อาจเกิดขึ้นได้ในระบบ ดังนี้

  1. สร้าง Inventory ของเครื่องลูกข่ายทั้งหมด
    ก่อนที่จะวางนโยบายใดๆ ผู้ดูแลระบบควรจะรู้จำนวนตัวเลขของ Windows XP ในระบบให้ชัดเจนเสียก่อนเป็นอันดับแรก โดยการมีระบบบริหารจัดการเครื่องลูกข่ายแบบต่างๆ ก็สามารถช่วยตรวจสอบได้บ้าง แต่ก็ยังมีข้อจำกัดสำหรับเครื่องลูกข่ายที่ไม่ได้ลง Agent Software เอาไว้ ดังนั้นการมี Network Access Control อย่าง ForeScout ช่วยตรวจตราและสร้าง Hardware/Software Inventory แบบ Real-time อีกชั้นหนึ่งจึงถือเป็นสิ่งที่สำคัญ ก่อนที่จะวางนโยบายรักษาความปลอดภัยใดๆ เพิ่มเติม
  2. กำจัด Application ที่ตกยุคไปแล้วให้หมด
    เพื่อให้เกิดความปลอดภัยในระดับสูงสุดเท่าที่จะเป็นไปได้ อย่างน้อยๆ Application ที่ใช้งานบน Windows XP ก็ควรจะถูกอัพเกรดเป็นเวอร์ชั่นล่าสุด เพื่อให้มีช่องโหว่สำหรับการโจมตีต่างๆ น้อยที่สุดเท่าที่จะเป็นไปได้ ซึ่ง ForeScout สามารถเข้าถึงข้อมูลการใช้งาน Application ต่างๆ เหล่านี้ได้ผ่านทาง Microsoft Active Directory หรือ Agent Software เพื่อตรวจสอบเวอร์ชั่นของ Application ที่ใช้งาน และบังคับให้มีการอัพเกรดได้ทันที
  3. จำกัดสิทธิ์การเข้าถึงเครือข่ายให้อยู่ในระดับต่ำที่สุดเท่าที่จำเป็น
    เพื่อลดความเสี่ยงที่เครื่อง Windows XP จะติดไวรัส เวิร์ม หรือมัลแวร์ แล้วทำการโจมตีเครื่องแม่ข่ายหรือระบบเครือข่ายอื่นๆ ทาง ForeScout ได้แนะนำให้ทำการย้ายเครื่อง Windows XP เหล่านี้ไปอยู่วง VLAN ที่ถูกสร้างมาโดยเฉพาะ และมีการตั้งนโยบายรักษาความปลอดภัย และสิทธิ์การเข้าถึงเครือข่ายเฉพาะสำหรับ Windows XP เหล่านี้ ในระหว่างที่ทำการ Migrate เครื่องเหล่านี้ให้เป็น Windows รุ่นที่ใหม่และปลอดภัยกว่า
  4. หยุดใช้งาน Internet Explorer และ Office 2003 บน Windows XP
    นอกจาก Microsoft จะหยุดสนับสนุน Windows XP แล้ว ซอฟต์แวร์ยอดนิยมอย่าง Internet Explorer ที่อัพเกรดได้ถึงเพียงเวอร์ชั่น 8 (ปัจจุบันเวอร์ชั่น 11) และ Office 2003 (ปัจจุบันเวอร์ชั่น 2013) ก็ถูกหยุดการสนับสนุนไปด้วยเช่นกัน ทำให้ซอฟต์แวร์สองตัวนี้มีช่องโหว่ทางด้านความปลอดภัยมากมาย ForeScout สามารถตรวจจับและยับยั้งการใช้งานซอฟต์แวร์เหล่านี้ได้ และแนะนำให้ใช้ Browser อื่นๆ เช่น Firefox หรือ Chrome แทน
  5. หมั่นอัพเดต Software ต่างๆ อย่างสม่ำเสมอ
    ไม่ว่าจะเป็น Java, PDF Reader หรือ Anti-virus ต่างๆ เอง ต่างก็ควรจะอัพเดตให้เป็นรุ่นล่าสุดอยู่เสมอ โดย ForeScout สามารถช่วยตรวจสอบและบังคับให้ซอฟต์แวร์ทั้งหมดเหล่านี้ถูกอัพเดตล่าสุดได้อยู่ตลอดเวลา
  6. จำกัดการใช้งาน Applications, Services และ Ports บน Windows XP ให้น้อยที่สุด
    ForeScout แนะนำให้ทำการ Uninstall Software ต่างๆ ที่ไม่จำเป็นตอ่การทำงานออกไปจาก Windows XP ให้มากที่สุดเท่าที่จะเป็นไปได้ รวมถึงปิด Services ที่ไม่จำเป็นเช่น Remote Access, Remote Registry, Simple File Sharing, Telnet และอื่นๆ เพื่อลดความเสี่ยงในการถูกโจมตีลง และยับยั้งการใช้งาน USB และ CD/DVD เพื่อลดโอกาสในการติดไวรัส เวิร์ม และมัลแวร์ลง ซึ่ง ForeScout สามารถช่วยบังคับให้นโยบายรักษาความปลอดภัยเป็นไปตามทั้งหมดนี้ได้ผ่าน Microsoft AD และ Agent Software นั่นเอง
  7. เตรียมรับมือกับการโจมตี Windows XP รูปแบบใหม่ๆ ที่จะเกิดขึ้นมาในอนาคต
    การโจมตีรูปแบบใหม่ๆ จะตามมาอย่างแน่นอน และ ForeScout เองก็จะสามารถช่วยบรรเทาความเสียหายเหล่านี้ได้ ด้วยการจำกัดสิทธิ์การเข้าถึงเครือข่ายเมื่อตรวจพบการโจมตีจากเครื่องลูกข่ายที่เป็น Windows XP เหล่านี้ รวมถึงยังมี Virtual Firewall ที่สามารถป้องกันไม่ให้เครื่องภายนอกทำการโจมตีเครื่อง Windows XP ที่ถูกปกป้องโดย ForeScout อยู่ด้วย
  8. วางแผนอัพเกรด Windows XP เป็น Windows รุ่นอื่นๆ ที่ใหม่กว่า
    ถึงแม้ว่าเราจะวางแผนการรับมือกับการโจมตี Windows XP ไว้มากเพียงไร แต่ท้ายที่สุดแล้วการอัพเกรด Windows เป็นรุ่นที่ยังได้รับการสนับสนุนจากทาง Microsoft อยู่ก็ยังเป็นทางเลือกที่มีความเสี่ยงทางด้านความปลอดภัยน้อยกว่าอยู่ดี โดยอย่างน้อยๆ อาจจะเริ่มจากการย้าย Windows XP ขึ้นไปยังระบบ Virtual Desktop Infrastructure ก่อน เพื่อให้อย่างน้อยๆ เมื่อเกิดการโจมตีใดๆ ขึ้นมา ทางผู้ดูแลระบบยังสามารถ Reset หรือ Revert Snapshot เพื่อยับยั้งการติดเชื้อไวรัส เวิร์ม และมัลแวร์ออกไปได้ชั่วคราวก่อน และลดความเสียหายลงให้ต่ำที่สุดนั่นเอง

 

สำหรับผู้ที่สนใจ Solution จาก ForeScout CounterACT สำหรับสร้าง Next Generation Network Access Control เพื่อรักษาความปลอดภัยทั้งสำหรับระบบเครือข่าย, ยืนยันตัวตน, ควบคุมเครื่องลูกข่าย, ทำ BYOD และมี IPS ป้องกันการโจมตีในระบบเครือข่ายไปพร้อมๆ กัน ก็สามารถติดต่อบริษัท Throughwave Thailand เพื่อขอข้อมูลเพิ่มเติม หรือยืมอุปกรณ์ไปทดสอบได้ทันทีที่เบอร์โทร 02-210-0969 หรืออีเมลล์มาที่ info@throughwave.co.th ได้ทันที

ที่มา: https://www.forescout.com/mitigating-windows-xp-security-risks/

เมื่อ Microsoft เลิกสนับสนุน Windows XP เราได้ผลกระทบอะไร?

เมื่อต้นเดือนเมษายนที่ผ่านมา ทาง Microsoft ได้ยุติบริการสนับสนุนผลิตภัณฑ์  Windows XP ซึ่งให้บริการมานานกว่า 10 ปี ส่งผลให้มีผลกระทบต่อผู้ใช้งาน Windows XP ดังนี้

  1. ไม่มีการอัพเดทโปรแกรมเพื่อป้องกันความปลอดภัย (Security Update) หากมีช่องโหว่ใดๆถูกค้นพบหลังจากนี้ จะไม่มีการปล่อยอัพเดต Security Patch จากทาง Microsoft ซึ่งส่งผลให้อาจมี Hacker, ไวรัส, สปายแวร์ และมัลแวร์ต่างๆ ใช้ช่องโหว่ของ Windows XP ที่ค้นพบหลังจากนี้เข้ามาทำการโจรกรรมหรือสร้างความเสียหายให้กับข้อมูลของผู้ใช้งานได้
  2. ไม่มีการสนับสนุนใดๆจาก Microsoft อีกต่อไป จากที่เคยมีการสนับสนุนช่วยเหลือผู้ใช้งานผ่านระบบออนไลน์และทางโทรศัพท์ หลังจากนี้ผู้ใช้งานจะไม่สามารถขอรับการสนับสนุนผ่านช่องทางนี้ได้
  3. ความเข้ากันได้ของซอฟต์แวร์และฮาร์ดแวร์ลดลง บริษัทผู้ผลิตซอฟต์แวร์และฮาร์ดแวร์ต่างๆ เริ่มยุติการสนับสนุนผลิตภัณฑ์ต่างๆของตนที่ทำงานบน Windows XP และฮาร์ดแวร์ที่ออกมาสู่ท้องตลาดใหม่ๆ ก็เริ่มจะไม่ Support Windows XP แล้ว

ดังนั้นผู้ใช้งานหรือองค์กรใดที่มี Windows XP อยู่ จึงควรคำนึงถึงผลกระทบที่จะตามมาในอนาคต สำหรับองค์กรใดที่จำเป็นต้องใช้ Windows XP ต่อไป อาจมีเหตุผลเนื่องมาจากระบบงานมีความจำเป็นต้องใช้ Windows XP สามารถทำตามคำแนะนำดังนี้

  1. อัพเดท Windows Security Patch ให้เป็นเวอร์ชั่นล่าสุด
  2. อัพเดท ซอฟท์แวร์ต่างๆ ที่ติดตั้งอยู่ในเครื่องให้เป็นเวอร์ชั่นล่าสุด
  3. ติดตั้งซอฟท์แวร์ Antivirus และทำการอัพเดทให้เป็นเวอร์ชั่นล่าสุด
  4. ใช้ Google Chrome หรือ Firefox แทน Internet Explorer

อย่างไรก็ตาม องค์กรควรมีแผนการเปลี่ยนจาก Windows XP เป็นระบบปฏิบัติการเวอร์ชั่นใหม่ๆ เพื่อความปลอดภัยของข้อมูลภายในองค์กรเอง

ข้อมูลเพิ่มเติม